Ganz ohne konkreten Anlass macht Sysadmin-Kolumnist Charly ab und an einen kleinen Rundgang um seine Server und schaut nach Angreifern. Dafür hat er ein kleines Instrumentarium paratliegen.
Jeder Server, der IP-mäßig im Internet steht, bekommt ungebetenen Besuch. Die üblichen Scans und skriptgesteuerten Flächenbombardements tropfen bei meinen Geräten einfach ab, etwa durch geschicktes Firewalling, Port Knocking [1] oder mit Zusatztools wie Fail2Ban [2]. Damit mir darüber hinaus niemand ein Ei legt, benutze ich die beiden Rootkit-Jäger Rkhunter [3] und Chkrootkit [4]. Letzterer bezichtigt meinen DHCP-Server leider der Paketschnüffelei:
eth0: PACKET SNIFFER(/usr/sbin/dhcpd[28382])
Das ist ein bekannter False Positive, den ich ignoriere. Als Zwischenbericht kann ich vermelden, dass meine Kammerjäger bislang ohne Beute geblieben sind.
Trotzdem gehe ich gelegentlich auf Patrouille und schaue, ob sich ein Server merkwürdig benimmt. Dazu benutze ich gerne Whowatch [5]. Das Tool startet im Terminal mit einer Prozessliste, in der zweiten Spalte sehe ich deren Besitzer. In der dritten zeigt Whowatch, ob der User lokal, über SSH, Telnet oder auf andere Weise angemeldet ist. Danach folgt bei entfernten Benutzern die IP-Adresse, bei lokalen sehe ich »:0« .
Steuern per Hotkey
Jetzt habe ich zwei Möglichkeiten, durch die Informationen zu navigieren: Ich kann mit den Pfeiltasten einen Zeile auswählen, [Enter] drücken und erhalte eine Baumansicht mit den zugehörigen Prozessen wie Abbildung 1. Ein Druck auf [O] (Owner) blendet die Anzeige des Prozesseigentümers ein und aus, [D] (Details) erzeugt ein Fenster mit genauen Informationen über den Prozess.
Als Möglichkeit zwei tippe ich [T] (Tree View) für alle laufenden Prozesse. Und auch in dieser Baumansicht bekomme ich per [D] (Details) genauere Informationen. Mit [L] (List of Signals) lasse ich mir die Steuersignale anzeigen, die ich dem Prozess schicken kann, etwa »HUP« , »INT« , »TERM« und im Notfall »KILL« . Den Status des Gesamtsystems, insbesondere was die Speicherverwaltung angeht, blende ich mit [S] (Sysinfo) ein, hierbei lässt Whowatch die Gesamtlast im Top-Stil über den Bildschirm zappeln (Abbildung 2).
Gefunden habe ich bei meinen Server-Rundgängen bislang nichts, außer ein wohliges Gefühl von Sicherheit. (jk)
Infos
- Firewall Knock Operator Fwknop: http://www.cipherdyne.org/fwknop/
- Fail2Ban: http://www.fail2ban.org
- Rkhunter: http://rkhunter.sourceforge.net
- Chkrootkit: http://www.chkrootkit.org
- Whowatch: http://whowatch.sourceforge.net








